Pytanie:
Jak może działać identyfikacja online „pendrive”?
user135452
2017-01-06 14:11:08 UTC
view on stackexchange narkive permalink

Mój bank niedawno odnowił swoją witrynę internetową i jeśli o mnie chodzi, zmieniła się na lepsze. Szczególnie bezpieczeństwo wydaje się dramatycznie zwiększone.

Co najważniejsze, wprowadzili dość niezwykłą (nigdy wcześniej tego nie widziałem) metodę identyfikacji, którą nazywają „certyfikatem elektronicznym”. Zasadniczo musisz osobiście udać się do banku, a facet daje ci malutką, tanią pamięć USB o bardzo małej pojemności. Od tego momentu będziesz musiał podłączać pendrive do komputera za każdym razem, gdy chcesz się zalogować. Sam pendrive nie wystarczy, musisz też wpisać hasło - w zasadzie uwierzytelnianie dwuskładnikowe za pomocą urządzenia USB jest drugim czynnikiem.

Jak to w ogóle może działać? Oczywiście uważam, że pamięć USB zawiera jakieś certyfikaty / klucze szyfrujące, które są używane w procesie logowania , ale nie wymagają od użytkownika instalowania żadnego oprogramowania na komputerze. Uważam to za dość przerażające, że strona internetowa otwierana z przeglądarki internetowej w trybie piaskownicy, bez zainstalowanej wtyczki / modułu / aplikacji / paska narzędzi, może zobaczyć pamięć USB, którą właśnie podłączyłeś. I nie tylko zobaczyć ten pendrive, ale przeczytaj go i wykorzystaj jego zawartość na tyle głęboko, aby zalogować się na najbardziej wrażliwy poziom aplikacji bankowości internetowej.

Nie jestem wielkim fanem podłączania nieznanych urządzeń do mojego komputera, i moje światło ostrzegawcze błysnęło, kiedy mi to wyjaśniono, więc wybrałem inną metodę identyfikacji (możesz wybrać). Jestem po prostu ciekawy.

PS: środek oczywiście nie dotyczy ich aplikacji mobilnych, ponieważ smartfony nie mają portów USB, ale to nic wielkiego, ponieważ nie można wiele zrobić z ich aplikacją na telefon (jest to głównie aplikacja konsultacyjna, a nie coś, za pomocą której można dokonywać dużych płatności / przelewów).

Edycja: nie jest używane okno dialogowe otwierania pliku, co wyjaśniałoby wyjaśnienie.

Czy jest szansa, że to pendrive zapewnia niezbędne sterowniki do połączenia się z przeglądarką?
Nie mam pojęcia, ponieważ nie jestem jego właścicielem, ale mówiono, że jest kompatybilny z „każdym urządzeniem, które ma port USB”, Windows, Mac, Linux i nie tylko, i działa po wyjęciu z pudełka
Jakiego sterownika używa pamięć USB?Czy to tylko standardowa pamięć USB?Możliwe, że uruchamia jakiś skrypt w tle podobny do urządzeń USB typu rubberducky, które używają standardowego sterownika HID bog, który system Windows już zainstalował lub zainstaluje się automatycznie.
Przepraszam, że nie mam zbyt wielu szczegółów na patyku, ponieważ wybrałem inną metodę identyfikacji, więc mi jej nie dali.To z pewnością byłaby interesująca rzecz do studiowania, ale nie mogę tego teraz zrobić.Może mógłbym poprosić o jeden
Czy przetestowałeś, czy rzeczywiście możesz zalogować się do swojego banku z „przeglądarki internetowej z piaskownicą”?Może się zdarzyć, że ten klucz będzie działał tylko w przeglądarce bez piaskownicy, a bank zakłada, że wszyscy ich klienci działają w ten sposób.Może warto o coś zapytać w banku.
Powiedziałem, że przeglądarka z piaskownicą, ponieważ moja to +. Pomyślałem, że możliwość swobodnego przeglądania systemu plików bez działania użytkownika jest zbyt często domyślnie ograniczona (mam nadzieję!) W 2016 roku, aby bank mógł to przyjąć.Jednak nie próbowałem
Myślę, że brakuje ci tutaj pewnych informacji.Możliwe jest posiadanie karty inteligentnej USB z wbudowanym chipem zawierającym Twój certyfikat i klucz prywatny.Całość można połączyć za pośrednictwem PKCS # 11 lub Windows Certificate Store, umożliwiając dostęp dowolnej przeglądarce do certyfikatu związanego z tokenem.Zwykle będzie to jednak wymagało zainstalowania niezbędnego urządzenia.Ponieważ nie spróbowałeś (i nie możesz podać szczegółów na temat samego kija), jestem skłonny uwierzyć, że jest tylko nieporozumienie dotyczące znaczenia słowa „po wyjęciu z pudełka”
Mam klucz USB Yubikey jako uwierzytelnianie dwuskładnikowe.Kiedy podłączam go do komputera, instaluje się jako ogólna klawiatura, którą akceptują wszystkie napotkane urządzenia.Kiedy naciskam przycisk z przodu yubikey, wpisuje jednorazowe hasło, które strona / program odbierająca używa do uwierzytelnienia na serwerach uwierzytelniających Yubicos, których używam klucza, z którym mam skonfigurowane konto.W związku z tym mogę podłączyć go w dowolnym miejscu i wprowadzić OTP do czegokolwiek bez konieczności instalowania czegokolwiek.
Spodziewałbym się również, że klucz USB będzie kartą inteligentną zawierającą klucz prywatny, którego używasz jako drugiego czynnika.Może się zdarzyć, że system operacyjny ma już te sterowniki lub pobiera je z witryny Windows Update (co dzieje się również w przypadku wielu lub zwykłych kluczy USB).Ale w większości przypadków musisz najpierw zainstalować certyfikat klienta na swoim komputerze.Po wyświetleniu monitu przez przeglądarkę system operacyjny spróbuje pobrać certyfikat z klucza USB, jeśli jest obecny
@rory-alsop, w rzeczywistości moja odpowiedź była odpowiedzią, drugą odpowiedź zobaczyłem dopiero w ostatniej sekundzie i uznałem ją za lepszą niż moja.Niemniej jednak, zarówno urządzenia USB, jak i partycje dyskowe mają unikalne identyfikatory, które mogą być używane jako lekki drugi czynnik.Identyfikator urządzenia USB jest najbardziej prawdopodobnym kandydatem.Używam tych identyfikatorów do przetwarzania kopii zapasowych dysków USB.
To jest łowienie w ciemności.Dodaj tutaj identyfikator USB, taki jak identyfikator dostawcy i identyfikator produktu.Użyj mechanizmów systemu operacyjnego, aby odczytać podłączone urządzenia USB.- OK, w końcu zobaczyłem, że nie masz takiego kija.
@JamesTrotter To nie wydaje się dużo bezpieczniejsze, ponieważ jest to w zasadzie drugie hasło, które można znaleźć i wprowadzić bezpośrednio.
To po prostu coś, co udaje klawiaturę. Po naciśnięciu przycisku eksportuje klucz publiczny.Każdy system operacyjny z radością przekaże dane wejściowe z klawiatury w dowolne miejsce, w którym znajduje się kursor.
Po prostu do Twojej wiadomości: większość smartfonów ma porty USB (port ładowania), które można wykorzystać do podłączenia zewnętrznych urządzeń USB.Wystarczy odpowiedni adapter / kabel, który można nabyć za parę / kilka $ lub urządzenie posiadające złącze micro USB.Coraz powszechniejsze stają się urządzenia USB, które natywnie mają takie złącza (tj. Nie wymagają kabli adaptera do podłączenia do telefonów).
Czy to może być [to] (http://www.pcworld.com/article/190015/secure_online_banking.html)?
Podoba mi się, jak zgodnie z twoim wrażeniem „wydaje się, że bezpieczeństwo zostało dramatycznie zwiększone”, dzięki „[m] ost [ważna]” zmiana będąca metodą identyfikacji, której „[…] nigdy wcześniej nie widziałeś”.Bezpieczeństwo to przede wszystkim uczucie;)
@Michael nie, ani jedno hasło nie jest używane w kółko ... nowe hasło jednorazowe za każdym naciśnięciem przycisku, potwierdzane przez dostawcę sprzętu przez dowolną witrynę, do której chcesz się zalogować, obsługująca yubikey (kilka, w rzeczywistości).Jest to również metoda uwierzytelniania dwuskładnikowego, więc jest używana jako dodatek do zwykłego hasła.
To tak, jak klucz sprzętowy zakupiony przez niektóre firmy programistyczne.Nie wiem, czy nadal to robią, czy nie.
Dziewięć odpowiedzi:
#1
+64
Philipp
2017-01-06 20:50:12 UTC
view on stackexchange narkive permalink

To, co przekazał Ci bank, to token bezpieczeństwa USB z certyfikatem cyfrowym ( taki jak te). Są to znormalizowane urządzenia sprzętowe, które prawie każdy system operacyjny obsługuje plug&play po wyjęciu z pudełka. Są bardzo powszechne we wdrażaniu uwierzytelniania wieloskładnikowego w systemach o wysokim poziomie bezpieczeństwa w przedsiębiorstwach IT.

Twoja przeglądarka internetowa korzysta z protokołu HTTPS z certyfikatami klienta w celu uzyskania dostępu do witryny banku. Używa magazynu certyfikatów systemu operacyjnego, aby znaleźć zainstalowany certyfikat, który pasuje do tożsamości żądanej przez serwer sieciowy. Gdy masz zainstalowany standardowy token zabezpieczający USB, system operacyjny będzie również szukał wszelkich certyfikatów w tokenie.

System operacyjny nie może samodzielnie przeprowadzić procesu weryfikacji z serwerem WWW, ponieważ token nie pozwala bezpośrednio odczytać klucza prywatnego przechowywanych na nim certyfikatów. Token zawiera sprzęt do weryfikacji. Tak więc klucz prywatny nigdy nie opuszcza pamięci USB. Oznacza to, że nawet jeśli twój komputer jest zagrożony przez złośliwe oprogramowanie, klucz prywatny certyfikatu nie jest zagrożony kradzieżą (ale pamiętaj, że ta metoda nie zapewnia żadnej ochrony po pomyślnym uwierzytelnieniu. Złośliwe oprogramowanie nadal może się zepsuć) Twoja przeglądarka internetowa).

Przy okazji: który to bank? Gdyby mój bank również obsługiwał tę metodę uwierzytelniania, mógłbym nawet zacząć korzystać z bankowości internetowej.

Myślę, że OP chciał dowiedzieć się więcej o mechanizmie zapewniania bezpieczeństwa przez dysk USB.Czy masz więcej informacji na temat sposobu, w jaki token bezpieczeństwa USB, taki jak opisałeś, działałby przy logowaniu się do witryny banku?Z opisu nie wynika, że jakakolwiek instalacja była konieczna, ani też nie było żadnych monitów użytkownika.
Token zabezpieczający USB nie będzie działał na każdym systemie operacyjnym.Aladdin próbował przez lata i nie udało mu się.Sterownik etoken dla systemu Linux nie działa po wyjęciu z pudełka i nie jest zainstalowany.opensc również nie jest instalowane domyślnie.PLUS: Musisz dodać moduł PKCS11 do swojej przeglądarki ...
Myślę, że zasadniczo mówi, że jest on wstępnie zainstalowany w systemie operacyjnym, więc nie trzeba nic * więcej * instalować.
Należy pamiętać, że gdy klucz sprzętowy jest podłączony, każde złośliwe oprogramowanie będzie miało taki sam dostęp do certyfikatów, jak przeglądarka, więc nie należy go podłączać.
Należy pamiętać, że dotyczy to tylko aplikacji korzystających z magazynu certyfikatów systemu Windows.Wybitnym przykładem takiego zachowania są Chrome i Edge.Firefox OTOH nie będzie działać bez modułu PKCS # 11.
#2
+29
Lie Ryan
2017-01-06 17:08:13 UTC
view on stackexchange narkive permalink

Jednym ze sposobów może być to, że Chrome obsługuje FIDO U2F bez wtyczki. Biorąc pod uwagę, że obecnie Chrome jest obecnie najpopularniejszą przeglądarką i że działa w systemach Windows, Mac i Linux, nie jest całkowicie błędne twierdzenie, że „działa na każdym urządzeniu z portem USB, Windows, Mac, Linux i nie tylko, oraz do pracy po wyjęciu z pudełka ”.

Czy twierdzili, że działa w dowolnej przeglądarce lub w dowolnym systemie operacyjnym?

Nie zgadza się to z roszczeniem banku.
+1 To brzmi dobrze.Jest to mechanizm typu open source, co oznacza, że prawdopodobnie został zaimplementowany przez Microsoft / Linux / Apple.Oczywiście twierdzenie banku, że działa na * dowolnym * komputerze z portem USB, jest bezsensowne.Mam pudełko, w którym działa MenuetOS i mogę zagwarantować, że nie będzie działać z tym systemem operacyjnym.
@phyrfox Cóż, technicznie działa z * prawie * każdym urządzeniem, które ma port USB, musisz tylko najpierw zainstalować Linuksa.
@phyrfox: całkiem dobrze.Mam pudełko, które właśnie wyszorowałem, bez zainstalowanego systemu operacyjnego, nie mówiąc już o przeglądarce, i na tym też nie działa.Wydaje mi się, że kiedy bank mówi „dowolny komputer” lub „twój komputer”, przeczytaj drobnym drukiem, nie mają na myśli * żadnego * komputera, który mógłbym posiadać.I tak nic nie gwarantują, to nie tak, że mogę zażądać zwrotu pieniędzy, gdy nie działają na moim Atari ST.
#3
+25
J.A.K.
2017-01-06 14:56:32 UTC
view on stackexchange narkive permalink

.... nie wymagają od użytkownika instalowania żadnego oprogramowania na komputerze .... Sądziłem, że możliwość swobodnego przeglądania systemu plików przez stronę internetową bez działania użytkownika jest zbyt często ograniczona przez domyślnie

Tak, zdecydowanie nie powinno to być możliwe bez sterowników kart inteligentnych. Jest to podstawowy mechanizm bezpieczeństwa każdej przeglądarki. Co daje clou, że certyfikat jest czytany bez klikania „otwartego pliku” okno dialogowe, okno dialogowe Java lub preinstalowanie sterowników? Powiedziałeś, że wybrałeś inną opcję weryfikacji.

To brzmi jak klucz USB używany na przykład przez Bank Of China. Taka technologia jest opisana tutaj.

podobno jest kompatybilna z „każdym urządzeniem z portem USB”

Posiadanie certyfikat PKCS # 11 lub # 12 w połączeniu z hasłem będzie działać we wszystkich systemach operacyjnych. Jest to taki sam sposób, w jaki menedżery haseł, takie jak praca keepass, łączą coś, co wiesz, z czymś, co musisz uzyskać 2 czynniki uwierzytelniania.

Ciekawa odpowiedź, dziękuję!Nie ma otwartego okna dialogowego pliku, sprawdziłem, ponieważ była to pierwsza myśl, która przyszła mi do głowy.
Wtedy nadal może to być wstępnie zainstalowana wtyczka do przeglądarki lub sterownik karty inteligentnej.Miałeś rację na swojej analizie, nie powinno być możliwości zrobienia tego „po wyjęciu z pudełka”, ale ma to sens w przypadku wyskakującego okienka lub niewielkiej interakcji z użytkownikiem.
@Zazor: Myślę, że nie masz takiego kija.Skąd możesz wiedzieć, że nie ma otwartego okna dialogowego pliku?
A jeśli po prostu udaje, że jest klawiaturą ogólną?
@cornelinux Podłączyłem własny pendrive, a następnie spróbowałem zalogować się na stronie.Stwierdzono, że „Twój klucz jest nieprawidłowy”, ale interfejs logowania nie prosi użytkownika o otwarcie pliku
Więc co "lsusb" lub menedżer urządzeń w Windows mówi ci o tym "kiju"?
„mój własny kij” - czy to ten, który opisałeś?Myślałem, że wybrałeś inną opcję weryfikacji.Jeśli tak, tak, podaj nam wyjście lsusb, abyśmy mogli zorientować się, co robi kij.
@J.A.K.nie, miałem podłączoną pamięć USB. Nie ma to żadnego związku z procesem identyfikacji;Chciałem tylko sprawdzić, co się stanie, gdy spróbujesz się zalogować * bez * odpowiedniego drążka
Aplikacja logowania będzie zgodna z USB według jego typu lub producenta.Nie sądzę, abyś dostał jakiekolwiek informacje z wrzucenia losowego USB do miksu.
#4
+12
user2720406
2017-01-06 21:56:31 UTC
view on stackexchange narkive permalink

Prawdopodobnie jest to tylko czytnik kart inteligentnych USB z włożoną kartą inteligentną o rozmiarze karty SIM.

Ręczna instalacja sterowników nie jest potrzebna, ponieważ przynajmniej ogólne sterowniki zarówno dla czytnika, jak i karty są już zainstalowane w większości nowoczesnych systemów operacyjnych.

Zobacz poniższy obrazek, na przykład takiego urządzenia:

Photo of USB device.

W czytniku na karcie SIM znajduje się certyfikat z kluczem prywatnym. Po podłączeniu go do komputera certyfikat z karty inteligentnej zostanie załadowany do magazynu certyfikatów systemu operacyjnego. Od tego momentu zachowuje się w zasadzie jak każdy inny certyfikat, który jest zapisywany na komputerze i może być używany do uzyskiwania dostępu do zabezpieczonych zasobów, podpisywania dokumentów / poczty, szyfrowania rzeczy itp.

W szczególności ten jest wydawany przez Cert Autorytet, któremu zaufał mój bank (bankowość internetowa) i stan (najczęściej używany przeze mnie do spraw związanych z IRS i zwracania się o prawdziwe dokumenty).

* „Po podłączeniu go do komputera, certyfikat z karty inteligentnej zostanie załadowany do magazynu certyfikatów systemu operacyjnego” * To, co opisujesz, jeśli jest prawdą, nie wydaje się być funkcją, ale luką w zabezpieczeniach systemu operacyjnego.Martwiłbym się, gdyby ktoś mógł podłączyć pamięć USB do mojego komputera i przesłać dowolne pliki.
To nie jest dowolny plik, który jest ładowany do komputera, ale certyfikat cyfrowy, który sam w sobie nie może wyrządzić żadnych szkód - zakładając, że implementacja całego stosu oprogramowania do obsługi certyfikatów cyfrowych została wykonana poprawnie w systemie operacyjnym (co zdecydowanie powinno być) Ponadto nie wystarczy włożyć losowych pamięci USB i pozwolić, aby przypadkowe pamięci USB zostały włożone do komputera.Jeśli to zrobisz, komputer i tak może zostać uznany za zagrożony.
@chuex,, który jest dosłownie celem pendrive'ów USB.
To nie zadziałałoby jednak ze wszystkimi systemami operacyjnymi - zdecydowanie nie przynajmniej dla Linuksa (nie widziałem jeszcze dystrybucji, która zawiera OpenSC po wyjęciu z pudełka).
@StackTracer Nie każde małe urządzenie USB jest magazynem plików („pendrive USB”).Por.[Odpowiedź Phillipa] (http://security.stackexchange.com/a/147497/88532).
@jpaugh, Jestem świadomy.Nie wiem, jak to ma znaczenie dla mojego komentarza.
@StackTracer „Pamięć masowa” to tylko jedna klasa „pamięci USB”.Istnieje również klasa urządzeń „Content Security” (inaczej DRM), która wydaje się opisywać urządzenie OP i prawdopodobnie jest również prostokątna (tj. „W kształcie patyka”).[Lista klas urządzeń USB] (http://www.usb.org/developers/docs/devclass_docs/)
@jpaugh,, dzięki czemu moje oświadczenie nie jest mniej ważne.
#5
+11
André Borie
2017-01-06 15:42:19 UTC
view on stackexchange narkive permalink

Najprawdopodobniej jest to urządzenie udające klawiaturę i dlatego jest rozpoznawane przez dowolny system operacyjny bez konieczności stosowania specjalnych sterowników. Wewnętrznie prawdopodobnie użyłby HOTP (lub TOTP, gdyby miał chip RTC i baterię) i po prostu „wpisałby” OTP za każdym naciśnięciem przycisku, jak Yubikey lub podobne urządzenie U2F.

Przeglądarka nie mówi ani nie wie, że jest tam USB; po prostu instruuje użytkownika, aby nacisnął fizyczny przycisk na urządzeniu (aby nakazać urządzeniu "wpisanie" kodu, ponieważ sama przeglądarka nie może z nim rozmawiać), a następnie interpretuje dowolne naciśnięcia klawiszy (do długości kodu) odbiera jako pochodzące z urządzenia.

Sugerujesz coś podobnego do [Yubikey] (https://www.yubico.com/products/yubikey-hardware/yubikey4/). Nie sądzę, aby zgadzało się to z opisem w OP.
@RobC jest to najprawdopodobniej jedyne rozwiązanie, które pasuje do rachunku za zgodność z systemami Windows / Mac / Linux bez konieczności stosowania sterowników.Cokolwiek innego wymagałoby albo wtyczki do przeglądarki, sterownika, albo obu, co zdecydowanie nie odpowiada temu, co opisał autor.
Zgadzam się z Robem, wydaje się mało prawdopodobne, aby bank skorzystał z takiego rozwiązania.Gdyby pendrive emulował klawiaturę, w jaki sposób przechwyciłby te odpowiedzi w przeglądarce i odpowiedziałby na token?Wchodził w interakcję z komputerem, co dla przeciętnego użytkownika wyglądałoby bardzo przerażająco.Nie mogę wymyślić czystego sposobu na osiągnięcie tego, co opisał OP, za pomocą emulowanej klawiatury USB.Jak wspomniał J.A.K., OP nie korzystał z pamięci USB, więc może wystąpić instalacja, wymagana zgoda użytkownika.
@Silver nie jest wymagana interakcja między pendrive a przeglądarką.To tylko drugi czynnik, taki jak TOTP lub HOTP.
@AndréBorie, to może zadziałać.Możesz to przetestować, naciskając przycisk w oknie notatnika.Wymagałoby to od użytkownika skoncentrowania pola TOTP w przeglądarce.Jest jednak zbyt mało informacji, aby dowiedzieć się, jaki jest mechanizm.Być może OP może określić bank, który z tego korzysta, aby każdy mógł przeprowadzić więcej badań.
Właśnie dowiedziałem się też o U2F.Myślę, że odpowiedź Lie Ryan powinna być akceptowaną odpowiedzią.
#6
+9
MSalters
2017-01-06 19:08:11 UTC
view on stackexchange narkive permalink

Brzmi jak teoretyczny pomysł, który miałem około dekady temu.

Prawie każdy system operacyjny obsługuje urządzenia sieciowe USB. Twoja pamięć USB może udawać kartę sieciową, podłączoną do sieci lokalnej, z serwerem internetowym również w tej sieci. Ten serwer sieciowy również może mieć certyfikaty HTTPS.

Twoja przeglądarka internetowa może wysyłać żądania HTTPS do tego serwera sieciowego i odkrywać, że pamięć USB i witryna banku ufają sobie nawzajem. Nie jest to uważane za ucieczkę z piaskownicy, ponieważ ani przeglądarka, ani system operacyjny nie wiedzą, że serwer sieciowy jest w rzeczywistości na pamięci USB.

Ostrzeżenie dotyczące własności intelektualnej: zgodnie z moją najlepszą wiedzą mój były pracodawca posiada patent na temat tego pomysłu w większości jurysdykcji. Przed skopiowaniem tego pomysłu skontaktuj się z rzecznikiem patentowym.

W jaki sposób przeglądarka zna nazwę domeny lub adres IP tego serwera internetowego?
@Marcel Serwer sieciowy na urządzeniu USB może ustawić własny statyczny adres IP.Aplikacja internetowa może następnie połączyć się z tym adresem IP.Np. Serwer WWW mógłby ustawić swój adres IP na 12.34.56.78, a aplikacja internetowa mogłaby załadować zasób, taki jak https://12.34.56.78/.well-known/verify-user/[unique-id], a następnie zweryfikować zasóbfaktycznie się ładuje (i może sprawdź jego zawartość)
W zasadzie PoisonTap (https://samy.pl/poisontap/) na dobre?
Czy dodanie karty sieciowej nie byłoby operacją uprzywilejowaną ograniczoną przez system operacyjny?
Nigdy nie słyszałem o zastosowaniu tej metody na dużą skalę.
@JoshSanford Niestety nie jest to ograniczone w systemie Windows.Zobacz https://www.grc.com/sn/sn-576.htm, znajdź „Karty sieciowe USB”
@Marcel: A nazwą domeny może być `usbstick.example.bank`, ponieważ bank wie, jaki adres IP będzie żądać urządzenie.Wymagałoby to pojedynczego / 30, które można współdzielić na wszystkich pendrive'ach tego banku.Co więcej, możesz ** także ** mieć ten sam adres IP w publicznym internecie.Komputer wybierze lepszą trasę (lokalną), gdy USB jest podłączony, a gorszą trasę (Internet), gdy nie.Drugi serwer wyświetli po prostu obraz „Podłącz pamięć USB!”.
@JoshSanford: Z USB i Wi-Fi zwykle już nie jest.Ludzie zaczęli narzekać, dlaczego ich wifi wymaga hasła roota i spodziewali się, że będzie to po prostu podłącz i graj.Słynny Linux Torvalds sam narzekał, że linux nie powinien wymagać hasła roota, aby robić takie rzeczy, jak przełączanie drukarek lub dołączanie do sieci Wi-Fi.Niektóre dystrybucje nadal powodują, że jest to ograniczone, nie jest to funkcja jądra, ale bardziej dotyczy to, jak skonfigurowano dystrybucję.
#7
+7
twisteroid ambassador
2017-01-07 15:04:16 UTC
view on stackexchange narkive permalink

Jak wspomniano w niektórych innych odpowiedziach, najprawdopodobniej jest to token bezpieczeństwa USB. Pomyśl o tym jak o czytniku kart inteligentnych + wbudowanej karcie inteligentnej (a czasami są one faktycznie realizowane w ten sposób). Pomyśl o karcie CAC używanej przez amerykańskie organizacje obronne. Pomyśl o karcie PGP. Niektóre modele Yubikey obsługują również działanie jako karta inteligentna.

Tego rodzaju urządzenia są szeroko stosowane przez banki w Chinach do ochrony ich witryn bankowych online / oprogramowania klienckiego, a moja odpowiedź opiera się głównie na moich osobistych doświadczeniach używając tych tokenów w Chinach.

Jak z niego korzystasz?

Kiedy rejestrujesz się w bankowości internetowej i wybierasz token USB, bank przekazuje ci token, tworzy publiczną / private key oraz certyfikat osobisty i załaduj je do tokena. Ustawiasz hasło na tokenie, które jest niezależne od hasła logowania do bankowości internetowej.

Instalujesz sterownik dostarczony przez bank na swoim komputerze osobistym, podłączasz token i przechodzisz do strony internetowej banku. Za każdym razem, gdy logujesz się lub wykonujesz wrażliwą operację (przelew środków, zmiana danych kontaktowych, autoryzacja zakupu online itp.), Przeglądarka / system operacyjny prosi o podanie hasła tokena, lampka na tokenie miga przez kilka sekund, a transakcja przechodzi.

Czekaj, muszę zainstalować sterowniki?

Tak. System operacyjny Windows ma standardowy interfejs karty inteligentnej, ale każdy model tokena USB nadal wymaga sterownika. Bardzo rzadko Windows Update zainstaluje odpowiednie sterowniki, ale w większości przypadków będziesz musiał pobrać pakiet ze strony banku.

Często jedynym obsługiwanym systemem operacyjnym jest Windows, a jedyną obsługiwaną przeglądarką jest IE. (Podobają im się niektóre ActiveX.) Z pewnością ogólnie możliwe jest, aby karty inteligentne / tokeny USB obsługiwały inne systemy operacyjne / przeglądarki, patrz karta CAC powyżej; musisz sprawdzić zgodność ze swoim własnym bankiem.

Jak więc Cię uwierzytelnia?

Przeglądarka prosi system operacyjny o zażądanie od tokena podpisania niewielkiej ilości danych (na przykład szczegółów transakcji). Token podpisuje go przy użyciu klucza prywatnego i certyfikatu. Przeglądarka przesyła podpis do banku. Bank weryfikuje podpis i upewnia się, że tylko token, który ci dał, ma klucz prywatny do stworzenia tego podpisu.

Klucz prywatny nigdy nie opuszcza tokena. Prawidłowo zaprojektowany token nie powinien nigdy ujawniać klucza prywatnego.

#8
+5
Ángel
2017-01-06 23:52:43 UTC
view on stackexchange narkive permalink

Przede wszystkim chciałbym powiedzieć, że jestem dość sceptyczny wobec twierdzenia nietechnicznego pracownika, że ​​działa on na „każdym urządzeniu z portem USB”, niezależnie od przeglądarki czy systemu operacyjnego. Nie zdziwiłbym się, gdyby obsługiwany system operacyjny okazał się tylko kilkoma wersjami systemu Windows (i być może MacOS). Warto jednak pomyśleć, jak takie urządzenie mogłoby działać.

Większość rozwiązań niewymagających sterowników, jak propozycja André Borie dotycząca klawiatury USB, wymagałaby jednak dodatkowego interfejsu (np. Przycisku sprzętowego).

Mimo to post user2720406 dał mi pomysł na urządzenie, które rzeczywiście działałoby [w określonych miejscach] dla każdego [włączonego] urządzenia z portem USB:

Urządzenie USB zawierałoby po prostu kartę SIM, używaną do samodzielnego uzyskiwania dostępu do Internetu za pośrednictwem GPRS / 3G. Wtedy urządzenie po prostu wysyła podpisane cyfrowo wiadomości „Klient z tokenem 12312121 korzysta z bankowości internetowej”. Sesja online nie jest dozwolona, ​​chyba że została odebrana w ciągu ostatnich 5 minut (plus być może inne czynniki, takie jak adres IP klienta, który ma podobną geolokalizację do adresu IP urządzenia). Dlatego port USB byłby używany tylko do zasilania, a urządzenie byłoby całkowicie niezależne od tego, co jest zainstalowane na komputerze.

Po prostu zapowiada się jako klawiatura.
Nie mogę wymyślić powodu, dla którego to nie zadziała.Świetne nieszablonowe myślenie.
OP mógłby to sprawdzić, podłączając urządzenie do innego komputera niż ten, z którego loguje się do banku.
#9
+2
jorfus
2017-01-07 04:44:49 UTC
view on stackexchange narkive permalink

To brzmi jak Yubikey. Są dobrze znane i działają świetnie. https://www.yubico.com/products/yubikey-hardware/yubikey4/

  • Jeśli chodzi o brak sterowników: Yubikey identyfikuje się jako klawiatura, więc każda maszyna ze sterownikiem klawiatury może odczytać wynik tekstowy z niej.
  • Jak to działa: Naciskasz przycisk, a Yubikey wydaje klucz publiczny (z wbudowanego bezpiecznego klucza prywatnego w urządzeniu). Bank może Cię uwierzytelnić i potwierdzić, że masz to, co znasz (Twoje hasło) i to, co posiadasz (Twój fizycznie zabezpieczony klucz prywatny).
  • Dlaczego jest to bezpieczne: oprogramowanie na Twoim komputerze nie jest możliwe aby uzyskać dostęp do klucza prywatnego, aby złośliwe oprogramowanie nie mogło go skopiować i udawać Ciebie. Musiałoby to zostać ci fizycznie skradzione. (co jest możliwe, ale dlatego łączysz je z czymś, co znasz)

  • Kto ich używa i dlaczego: Google pomogło zaprojektować yubikey, aby mogły rozwiązać problem złośliwego oprogramowania na komputer przechwytujący lokalne poświadczenia podczas nieobecności użytkownika. Każdy inżynier Google ma taki. Używam ich od lat i wdrażam wokół nich liczne rozwiązania 2fa.

Według strony internetowej yubikey identyfikuje się również jako czytnik kart inteligentnych.
YubiKey używa ogólnych sterowników już dostępnych w systemie Windows: Dla YubiKey Standard / Nano i dowolnego urządzenia z trybem OTP (Edge, NEO itp.): Klawiatury> Urządzenie klawiatury HID (takie samo jak podłączenie klawiatury zewnętrznej)
W nowszych systemach operacyjnych prawdopodobnie jest identyfikowany według nazwy, ale chodzi mi o to, że działa dobrze na każdej maszynie, do której kiedykolwiek go podłączyłem.Nigdy nie widziałem ostrzeżenia o „nieznanym urządzeniu”.
Jeśli wpisuje, to brzmi, jakby był to tylko tekst, który może zostać przechwycony przez użytkownika lub złośliwe oprogramowanie i użyty niezależnie od urządzenia.
Oczywiście jest to po prostu jednorazowy token.Złośliwe oprogramowanie zawierające rejestrator kluczy zawsze będzie mogło zarejestrować hasło i hasło jednorazowe (nawet jeśli wpisujesz hasło jednorazowe z breloczka).To, co uniemożliwia złośliwemu oprogramowaniu, wydobycie tych danych uwierzytelniających i ponowne ich późniejsze użycie.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...